Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 3 subscribers
  • Views 384759 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

QNAP NAS triggering C2/Generic-A

MarCow
Hi,

I have a QNAP NAS device on my network, and over the last couple of months (possibly since the upgrade to UTM 9.2 although I'm not 100% sure of that correlation) I've been getting intermittent C2/Generic-A notifications from the UTM Advanced Threat Protection service with the QNAP as the source IP.  The destination IP associated with this warning is 95.211.192.195, which a reverse lookup shows as lw45.ua-hosting.com.ua (apparently a Ukrainian web hosting company).

For now I'm just ignoring these warnings and letting the UTM drop this traffic, but I was curious if anyone else has seen this since QNAP devices are quite popular, and whether there really is something fishy going on here.  I'll also ask QNAP support the same question to see if there's a legitimate purpose for accessing this IP.

Thanks!
Martin.


This thread was automatically locked due to age.
  • 0
    your qnap box might be infected with a bot?
    i mean, if you're checking the PF logs and you see a hit from it's ip to that external ip then something's wrong for sure(leaving aside the threat detection)
  • 0
    Hi,

    Can you post the entry from the FULL log?

    Barry
  • 0
    I have 3 QNAPS and I have never seen that error. Only error I get is when I try and connect to it over https without using a new key. 

    MALWARE-OTHER self-signed SSL certificate with default Internet Widgits Pty Ltd organization name

    But I have never seen that C2/Generic-A before
  • 0
    Hi,

    I have got the same. Here is the log:
    2014:07:30-15:56:46 home ulogd[1627]: id="2023" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged (ATP)" action="log" fwrule="63001" initf="eth0" threatname="C2/Generic-A" srcmac="0:8:9b:be:ed:90" dstmac="0:1a:8c:13:91:c4" srcip="192.168.1.205" dstip="95.211.192.195" proto="17" length="129" tos="0x00" prec="0x00" ttl="64" srcport="6881" dstport="51413" 
    2014:07:30-15:57:19 home ulogd[1627]: id="2023" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged (ATP)" action="log" fwrule="63001" initf="eth0" threatname="C2/Generic-A" srcmac="0:8:9b:be:ed:90" dstmac="0:1a:8c:13:91:c4" srcip="192.168.1.205" dstip="95.211.192.195" proto="17" length="93" tos="0x00" prec="0x00" ttl="64" srcport="6881" dstport="51413" 

    2014:08:04-07:42:31 home ulogd[27803]: id="2022" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" action="drop" fwrule="63001" initf="eth0" threatname="C2/Generic-A" srcmac="0:8:9b:be:ed:90" dstmac="0:1a:8c:13:91:c4" srcip="192.168.1.205" dstip="95.211.192.195" proto="17" length="93" tos="0x00" prec="0x00" ttl="64" srcport="6881" dstport="51413"
  • 0
    Dwalin - thanks for posting your log excerpt - certainly appears to be the exact same warning and destination IP I'm seeing.  I'm not really sure how best to check my QNAP for malware, but I ran a full antivirus/malware scan and it turned up nothing.  That scan may just be checking files stored on the NAS, as opposed to checking the system itself.  For now I'm just turned the QNAP off and am using other means to back up - I expect I may wipe the whole thing and either start from scratch or list it on eBay!
  • 0 in reply to MarCow
    Dwalin - thanks for posting your log excerpt - certainly appears to be the exact same warning and destination IP I'm seeing.  I'm not really sure how best to check my QNAP for malware, but I ran a full antivirus/malware scan and it turned up nothing.  That scan may just be checking files stored on the NAS, as opposed to checking the system itself.  For now I'm just turned the QNAP off and am using other means to back up - I expect I may wipe the whole thing and either start from scratch or list it on eBay!


    how about contacting QNAP support?
    are the QNAP boxes running the latest firmware?(did you check?).

    there's no need to "throw" them, you can also try a factory reset/recovery that reinstall the entire FW(connected to the above, make sure you are in fact running the latest version) and also that you have all "useless" services disabled(if you're only using SMB, disable all other protocols), that should reduce your attack surface
  • 0
    Hi,

    i have just opened a port on the qnap forum: QNAP NAS Community Forum • View topic - Qnap infected with C2/Generic-A

    BTW: I have already disabled all unneeded features, but its still strange. 

    Its also strange, the virus is a windows virus but qnap is based on linux.
  • 0 in reply to Dwalin
    Hi,

    i have just opened a port on the qnap forum: QNAP NAS Community Forum • View topic - Qnap infected with C2/Generic-A


    you need to specify a LOT more info in your thread to not waste time because this is the FIRST thing they will ask:
    which QNAP product?
    which FW version?
    which services are enabled?
    is security enabled or anonymous access?
  • 0
    The QNAP box is running the latest firmware.  I had logged a ticket with QNAP support but hadn't heard anything back yet - I'll check the status of that ticket.
  • 0
    Port 6881 is often used by BitTorrent clients; are you running one?

    Barry
Unfiltered HTML